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Abstract of DE10152121 

Method has the following steps: generation of a control request by an access device when an event is 
detected that relates to an object, whereby the control request includes event and object describing 
information; transfer of the control request to a control device; selection of a processing rule for the 
object based on the included event and object Information; and processing of the object according to 
the processing rule. The invention also relates to a corresponding computer program product and 
device for implementation of the method. 
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(g) Regelbasterte VerarbeitungskontroHe mobiler Information 

@ Regelbasierte VerarbeitungskontroHe rhobiler Informa- 
tion fur eine dezentrale regelbasierte Verarbeitungskon- 
troHe von Objekten, die in ein DV-Gerat importiert oder 
exportiert warden sollen Oder dort venwendet warden sol- 
len. Eine Kpntrollanfrage wird durch eine Zugriffsvorrich- 
tung bei Erfassung eihes Ereignisses im Zusammenhang 
mit einem Objekt erzeugt und ah eine Steuervorrichtung 
ubertragen. Do rt wird eine Vera rbeitungsvorsch rift fur 
das Objekt aufgrund von Ereignisinformation und Objekt- 
information ausgewahit und das Objekt wird entspre- 
chend der ausgewahlten Verarbeitungsvorschrift yerar- 
beitet. 
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Beschreibung 

Gebiet der Erfindung 

[0001] Die Erfindung betrifft ein Verfahren und eine Vor- 5 
nchtiing zur Durchftihrung einer Verarbeitungskontrolle auf 
Objekte in einem DV-Gerat oder auf Objekte mit einer Re- 
prasentation in einem DV-Gerat, sowie auf Objekte bzw. de- 
ren Reprasentationen, welche in ein oder aus einem DV-Ge- 
rat ubertragen warden sollen. 10 



Hintergnind der Erfindung 

[0002] ZugriffskontroUverfahren sind in der Informati- 
onstechnik bekannt und werden eingesetzt, wie beispiels- 
weise beschrieben in O. Fries u. a,, Sicheiheitsmechanis- 
men, Oldenbourg 1993, H. Kersten, Sicherheit in der Infor- 
mationstechnik, Oldenbourg 1995, S. Garfinkel, G. Spaf- 
ford. Practical Unix & Internet Security, 0*ReiUy 1996, A. 
D. Rubin u. a„ Web Security Sourcebook, WUey Computer 
Ihiblishing, 1997, und D. B. Chapman u. a., Einrichten von 
Internet Firewalls, O'Reilly 1997. 

[0003] Dabei treten stets Subjekte, Objekte und Methoden 
auf: Em Subjekt mochte mit einer Methode auf ein Objekt 
zugreifen. Nach verschiedenen Verfahren wird dieser 
Wunsch gewahrt oder verweigert. ZugriiffsschutzmodeUe 
leilen sich ein in die beiden Haupttypen 

- benutzerbestimmte ZugriffskontroUe (DAC, discre- 
tionary access control) 

- regelbasierte ZugrifTskontrolle (MAC, mandatory 
access control) 

[0004] Die Zugriffsschutzinformation wird dabei entwe- 
der in einer ZugriflFsschutzmatrix gehalten, oder als Attri- 
bute an die Subjekte (Gruppen, RoUen, Privilegien) bzw. an 
die Objekte (Access Control Lists) gebunden. Auch Kombi- 
nationen dieser Verfahren sind iiblich und in Produkten vor- 
handen. Das Erstellen der ZugrifFsschutzmatrix erfordert fiir 
jedes Paar Subjekt/Objekt einen administrativen Vorgang, 
ebenso das Anhangen von Attributen an Subjekte bzw. an 
Objekte. 

[0005] Ein wesentliches admini strati ves Problem besteht 
darin, neu in das System eingefuhrte Objekte automatisch 
nut der richtigen Zugriffsschutzinformation zu versehen. 
Mehrere Verfahren sind hierzu bekannt: 
Wu-d ein Objekt von der Administration in ein System im- 
portien, so ist eine regelbasierte ZugriffskontroUe mQglich: 

- das Vererbungsverfahren: Dabei erben Objekte die 
Zugriffsschutzinformation von dem schon vorhande- 
nen Container, in dem sie gelagert werden (z. B. Unix 
Wmdows NT/2(X)0). 

- Objektklassifizierung: Objekte werden in l^pen ein- 
geteUt (z. B. an Hand der Dateiextension) und davon 
abhangig die Zugriffschutzinformation erzeugt. 



Subjekt die Entscheidung iiber eine Verwendung uber- 
lassen. (z. B.in ActiveX reaUsiert). 

- Aus der Interclettechnologie ist das Prinzip der Sand- 
box bekannt, in dem aktive Objekte die in das System 
emgefuhrt werden nur begrrazte Rechte erhalten, und 
somit nur begrenzte Verwendung moglich ist. 

- In Firewall Systemen werden "Application Proxies" 
als Filter eingesetzt, die fiir Internet Anwendungen 
applikationsspezifisch den Durchgang von Daten er- 
lauben oder verweigem. 



[0007] Ein weiteres administratives Problem bei verteilten 
Systemen besteht darin, dass beim Empfanger eines Objek- 
tes vor dem Zugriff dessen Integritat garantiert werden 
15 muss. Die Integritat von Objekten kann mit Hilfe einer digi- 
talen Signatur gewahrleistet werden. 

[0008] . In modemen DV-Systemen ergibt sich aus ver- 
schiedenen Faktoren, die Notwendigkeit eines neuartigen 
Sicherfieitssystems das durch die existierenden Zugriff- 
20 schutzverfahren nicht geleistet werden kann: Es wird immer 
mel^ in Netzwerken gearbeitet, die zenlral administriert 
werden, wobei die Endbenutz«: von administrativer Tatig- 
keit entiastet werden. Diese Entiastung bedeutet beispiels- 
weise die automatisierte Aktivierung von Vorgangen wie 
25 etwa der Installation von Software ohne Einfluss und Kon- 
trollmoglichkeit durch den Anwender. 
[0009] Hohe Datenvolumina, groBe.Benutzergruppen und 
die komplexe Struktur von Anwendungen und Nutzdaten 
verhindem haufig eine diiekte KontroUe der Administration 
30 dariib^, dass mit Objekten auf den D V-Geraten so verfahren 
wird wie vorgeschrieben oder beabsichtigt. Software kann 
beispielsweise direkt von extemen Providem an Endanwen- 
der gehefert und von diesen installiert werden. 
[0010] Dabei sind die Rechner der Endbenutzer teils stets 
35 im Netzwerk eingebunden, werden teils aber auch netzunab- 
hangig betrieben oder nur gelegentiich uber, Infrarot oder 
andere Schnittstellen an das Netz angebunden. 
[0011] Konsequenzen dieser Netz- und Verwaltungsstruk- 
tur sind zum Beispiel: 

40 

- Ein D V-Gerat kann Anwendungen (auch sicherheits- 
relevante) von einer unbekannten Netzquelle uber nicht 
vertrauenswurdige Transportwege zur Verfiigung ge- 
steUt bekommt. Dies kann sogar.ohne Kenntnisnahme 

45 eines Benutzers geschehen. 

- Eine Kommunikationsverbindung zu einem D V-Ge- 
rat kann automatisch aufgebaut werden und ein Daten- 
austausch kann stattfinden, ohne dass dieser vom Besit- 
zer der Information initiiert wurde oder diesem Besit- 

50 zer iiberhaupt bekannt ist 



[0006] In verteilten Systemen sind die Subjekte haufig 
Computerbenutzer, die Objekte in ihren Rechner importie- 
ren woUen. Solche Objekte sind dann im Besitz des Benut- 
zers, der selbst die Verarbeitungsregehi fiir das Objekt be- 
stimmL Hierzu sind DAC-Metiioden bekannt: 

- Einbringen in einen Container und Zuoidnung von 
Rechten entsprechend dem Vererbungsverfahren. 

- Neu einzufiihrende Objekte werden mit Hilfe einer 
digitalen Unterschrift signiert. An Hand der Signattir, 
die den Erzeuger des Objektes identifiziert, wird dem 



[0012] Die einfache und notwendige Zielsetzung, auf ei- 
nem D V-Endgerat oder in einem D V-System zu jedem Zeit- 
punkt die KontroUe zu haben, welcher Softwarcstand, in 
55 welcher Konfiguration auf welchen Daten benutzt werden 
darf, und mit welchen Verfahren auf welche - moglicher- 
weise noch unbekannten - Daten der Benutzer welche Zu- 
griffsrechte besitzt, lasst sich in den beschriebenen Verfah- 
ren weder dezentral dm-ch den Benutzer noch zentral durch 
60 einen Administrator noch durch die Zusammenarbeit beider 
zufriedensiellend eireichen. 

Zusammenfassung der Erfindung 

65 [0013] Der Erfindung liegt das Problem zu Grunde, eine 
verbesserte Verarbeitungskontrolle fiir Objekte zu reatisie- 
ren, die in ein DV-Gerat importiert oder exportiert werden 
sollen, Oder dort verwendet werden sollen. 
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[0014] Dieses Problem wird durch ein Verfahren zur Ver- 
arbeitungskontrolle von Objekten gelost, mit den Schritten: 
Erzeugen einer Konttollanfrage durch eine ZugriflFsvorrich- 
tung bei Erfassung eines £reigniss6s in Zusanimenhang mit 
eineni Objekt, wobei die KontroUanfrage das Ereignis be- 
schreibende Ereignisinformation und das Objekt beschrei- 
bende Objektinformation enthalt; 

Obertragen der KontroUanfrage an eine Steuervorrichtung; 
AuswShlen einer Verarbeitungsvorschrift fiir das Objekt 
aufgruhd der Ereignisinformation und Objektinformation 
aus einem Zugrififsinformationsspeichcr, der dcm Objekt 
und dem Ereignis zugeordnete Verarbeitungsvorschriften 
speichert; und 

Verarbeiten des Objekts entspxechend der Verarbeitungsvor- 
schrift. 

[0015] Das Ereignis kann eine Hahdhabungsanweisung 
Oder eine Anweisurig fiir einen tJbertragungsversuch iiber 
einen realen oder virtuellen Datenkanal darstellen. 
[0016] Somit kann eine dezentrale regelbasierte Verarbei- 
tungskontrolle fiir Objekte realisiert werden, die in ein DV- 
Gerat importiert oder exportiert werden sollen,,oder dort 
verwendet werden sollen. 

[0017] Weiter kann die Anweisung zur Obertragung des 
Objektes uber den Datenkanal einen Import des Objektes in 
eine oder eineii Export aus einer Datenverarbeituhgsvorrich- 
tung von/zu einem Peripheriegerat oder von/zu einem Netz- 
werk beinhalten. 

[0018] Vorteilhaft kann eine Vielzahl von Datenkanalen 
kann der Zugriffsvorrichtung zugeordnet sein. 
[0019] Zudem kann die Objektinformation Information 
iiber ein Subjekt enthalten, welches das Ereignis initiiert hat. 
[0020] Weiter kann die Verarbeitungsvorschrift zumindest 
einen Schritt der folgenden tiste beinhalten: 



einem Ereignisknoten eine Objektklassenliste mit n >= 0 
Objektklassen und eine Knotenverarbeitungsvorschrift zu- 
geordnet sein, und den Objektknoten eine Knotenverarbei- 
tungsvorschrift und Instanzlisten mit m >= 0 Listeneintra- 

5 gen zugeordnet sein, wobei jeder Listeneintrag eine Instanz 
oder eine Instanzmenge und eine zugeh&rige .Objektveraf- 
beitungsvorschrih enthalten kann; und 
die Objektverarbeitungsvorschrift eines Listeneintrags kann 
einer positiven Identifizierung. zugeordnet sein, sowie die 

10 Knotenverarbeitungsvorschrift eines Ereignisknotens qtid 
• die Knotenverarbeitungsvorschrift eines Objektknotens ei- 
ner negativen Identifizierung. 

[0026] Das Auswahlen der Verarbeitungsvorschrift kann 
beinhalten: 

15 Identifizieren des Ereignisknotens, dem der Ereignis zuge- 
ordnet ist; 

Suchen in der Objektklassenliste des identifizierten Ereig- 
nisknotens nach einer Objektklasse, die das Objekt umfasst; 
und * '• 

20 Verarbeiten des Objektes gemaB der Knotenverarbeitungs- 
vorschrift, falls in der Objektklassenliste des identifizierten 
Ereignisknotens eine Objektklasse, die das Objekt umfasst, 
nicht enthalten ist. 

[0027] Weiter kann die Verarbeitungsvorschrift eine posi- 
25 tive und eine negative Tfeilverarbeitungsvorschrift umfas- 
sen; und 

bei Erftillung eines Ereigniskriteriums kann das Objekt ge- 
maB der positiven Knotenteilverarbeitungsvorschrift verar- 
beitet werden und bei Nichterfiillung des Ereigniskriteriums 
30 das Objekt gemaB der negativen Knotenteilverarbeitungs- 
vorschrift verarbeitet werden. 

[0028] pas Ereigniskriterium kann mindestens ein Ele- 
ment der folgenden Liste betreften: . 



- Freigabe oder Sperrung der tJberttaguhg des Objek- 35 
tes iiber einen Datenkanal; 

- Freigabe des Imports mindestens eines Ifeils des Ob- 
> jektes und Zuordneh von lokal gultiger ZugrifPsschutz- 

information; 

- Freigabe des Imports mindestens eines Teils des Ob- 40 
jektes in einen gesicherten Speicherbereich; 

- Freigabe oder Sperrung der tJbertragung des Objek- 
tes iiber einen Datenkanal und Auslosung von definier- 
ten Verarbeitungsschritten. 

45 

[0021] Das Objekt kann in Beziehung zu der Zugrififsvor- 
richtung und/oder dem Zugrififsinformationsspeicher stehen 
und die Auswahl der Verarbeitungsvorschrift kann ein Uber- 
priifen von Attributen und/oder nachpriifbaren Qualitaten 
des Objektes beinhalten. 50 
[0022] Die Auswahl der Verarbeitungsvorschrift kann 
weiter eine Beriicksichtigung der RoUe des Subjektes bein- 
halten, welches das Ereignis initiiert hat. 
[0023] Der Zugrififsinformationsspeicher kann einen er- 
sten Speicherbereich mit Ereignisinformation zu einer Viel- 55 
zahl von Ereignissen und einen zweiten Speicherbereich mit 
Objektinformation zu einer \^elzahl von Objekten enthalt. 
[0024] Weiter kann die Ereignisinformation in einer 
Baumstruktur mit Ereignisknoten gespeichert sein, wobei 
jedes Ereignis einem Ereignisknoten zlugeordnet ist, und die 60 
Objektinformation in einer Baumstruktur mit Objektklas- 
senknoten gespeichert ist, wobei jeder Objektklasse ein Ob- 
jektknoten zugeordnet ist, und die Objektinformation kann 
eine Objektklasse und eine Objektinstanz oder eine Menge 
von Objektinstanzen umfassen. 65 
[0025] Weiter kann vorteilhaft eine Verarbeitungsvor- 
schrift eine Knotenverarbeitungsvorschrift oder eine Ob- 
jektyerarijeitungsvorschrift sein; 



- einen zulassigen und giiltigen Objektnamen; 

- einen giiltigen Hashwert; 

- Information uber den Initiator der Objektanfrage; 

- dne giiltige und zulassige digitale Unterschrift; 

- dne Verschliisselung; und 

- Referenzen auf notwendige Information. 

[0029] Falls in der Objektklassenliste des identifizierten 
Ereignisknotens eine Objektklasse, die das Objekt umfasst, 
enthalten ist kann folgendes durchgefiihrt werden: 
Identifizieren des zugehorigen Objektklassenknotens; 
Suchen in der Instanzenliste des identifizierten Objektklas- 
senknotens nach einer Instanz, der die Instanz des Objektes 
entspricht; 

Auswahl der Objektverarbeitungsvorschrift^ welche diesem 
Instanzlisteneintrag zugeordnet ist; 

Verarbeitiing des Objektes gemass dieser Objektverarbei- 
tungsvorschrift, falls eine solche gefunden wurde; und 
Verarbeitung des Objekts gemass der Knotenverarbeitungs- 
vorschrift des identifizierten Objektklassenknotens, falls das 
Objekt in der Instanzliste nicht geftinden wurde, 
[0030] Die Knotenverarbeitungsvorschrift eines Objekt- 
knotens kann eine positive und negative Knotenteilverarbei- 
tungsvorschrift umfassen und, falls in der Instanzliste keine 
dem Objekt entsprechende Instanz gefunden wurde, bei Er- 
fiiUung eines Objektknotenkriteriums kann das Objekt ge- 
mass der positiven Knotenteilverarbeitungsvorschrift verar- 
beitet werden und bei Nichterftillung des Objektknotenkrite- 
riums das Objekt gemass der negativen Knotenteilverarbei- 
tungsvorschrift verarbeitet werden. 

[0031] Die Objektverarbeitungsvorschriften eines Objekt- 
knotens kann positive und negative Objektteilverarbeitungs- 
vorschriften umfassen, und wobei, falls in der Instanzliste 
des identifizierten Objektknotens eine dem Objekt entspre- 
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chende Instanz gefiinden wurde und ein diesem Listenein- 
trag zugeordnetes Objektkriterium erfuUt ist, das Objekt ge- 
mass der positiven Objektteilverarbeitungsvorschrift verar- 
beitet werden und bei NichterfuUung des Objektkriteriums 
das Objekt gemaB der negativen Objektteilverarbeitungs- 5 
vorschrift verarbeitet werden, 

[0032] Im Falle einer Containerinstanz kann die Verarbei- 
tungsvorschrift aus einer Anweisung bestehen, die Zugriffs- 
entscheidung auf die Inhalte des Containers zu beziehen. 
[0033] Weiter kann die Verarbeitungskontrolle verwendet 10 
werden, urn Aktualisierungen in der Steuervoirichtung und/ 
Oder im Zugriffsinformationsspeicher vorzunehmen. 
[0034] Ein Programm kann bereitgestellt sein, mit In- 
struktionen zum Ausfuhren der vorhergehend beschriebenen 
Schritte. Weiter kann ein Computer lesbares Medium bereit- 15 
gestellt sein, in dem ein Programm verkorpert ist, wobei das 
Programm einen Computer anweist, die vorhergehend be- 
schriebenen Schritte auszufiihren. Hn Computerprogramm- 
. produkt kann das Computer lesbare Medium umfassen. 
[0035] Weiter wird das der Erfindung zugrundeliegende 20 
Problem durch eine Vorrichtung zur Verarbeitungskontrolle 
von Objekten gelost, umfassend: 

eine Zugriffsvorrichtung, um eine Kontiollanfrage bei Er- 
fassung eines Ereignisses in Zusammenhang mit einem Ob- 
jekt zu erzeugen, wobei die KontroUanfrage das Ereignis be- 25 
schreibende Ereignisinfonnation und das Objekt beschrei- 
bende Objektinformation enthklt; 

einen Zugrilfsinformationsspeicher, um. dem Objekt und 
dem Datenkanal zugeordnete Verarbeitungsvorschriften zu 
Speichem; und 3q 
eine Steuervorrichtiing, um die KontroUanfrage zu empfan- 
gen und aufgrund der Ereignisinfonnation und Objektinfor- 
mation eine Verarbeitungsvorschrift fur das Objekt auszu- 
wahlen und um eine Verarbeitung des Objekts entsprechend 
der Verarbeitungsvorschrift zu bewirken. 35 
[0036] Weitere vorteilhafte Ausfiihrungen der Erfindung 
sind in weiteren Anspnichen offenbart. 



Kurze Beschreibung der Zeichnungen 
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[0037] Fig. lA zeigt in einem Flussdiagramm grundle- 
gende Verarbeitungsschritte zur VerarbeitungskontroUe von 
Objekten gemaB einem Ausfuhrungsbeispiel der Erfindung; 
[0038] Fig. IB zeigt ein Blockdiagramm des Aufbaus der 
Zugriffsvorrichtung zur Verarbeitungskontrolle von Objek- 45 
ten gemaB einem Ausfuhrungsbeispiel der Erfindung.; 
[0039] Fig. 2 zeigt in einem Hussdiagramm Verarbei- 
tungsschritte zur Verarbeitungskontrolle von Objekten ge- 
maB einem weiteren Ausfuhrungsbeispiel der Erfindung; 
[0040] Fig. 3 zeigt in einem Hussdiagramm Verarbei- 50 
tungsschritte zur Verarbeitungskontrolle von Objekten ge- 
maB einem weiteren Ausfuhrungsbeispiel der Erfindung; 
[0041] Fig. 4 zeigt ein Blockdiagramm einer Vorrichtung 
zur Verarbeitungskontrolle von Objekten gemaB einem Aus- 
fuhrungsbeispiel der Erfindung; und 55 
[0042] Fig. 5 veranschaulicht Knoten Der ACDB der Vor- 
richtung aus Fig. 4. 



Beschreibung bevorzugter Ausfuhrungsbeispiele 
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[0043] Im folgenden wird mit Bezug auf Fig. 1 A ein Aus- 
fuhrungsbeispiel der Erfindung beschrieben. 
[0044] Fig. lA zeigt grundlegende Verarbeitungsschritte 
zur Verarbeitungskontrolle von Objekten. d. h. eine regelba- 
sierte VerarbeitungskontroUe von mobiler Information auf 65 
Datenverarbeitungsvorrichtungen gemaB einem Ausfuh- 
rungsbeispiel der Erfindung. 

[0045] Die Erfindung kann beispielsweise auf der Basis 



bestehender Zugriffsschutzmechanismen in marktublichen 
Betriebssystemen verwirkhcht werden. Ohne den Umfang 
der Erfindung zu beschranken wird in Folgenden beispiel- 
haft davon ausgegangen, dass die Zugriflfsregeln von einer 
administrierenden Stelle gesetzt werden, die auf dem DV- 
Gerat des Benutzers Administrationsrechte hat Wdter wird 
angenonmien. dass der Benutzer des DV-Gerates einge- 
schrankte Rechte hat, insbesondere um Dateien und Anwen- 
dungen auf demDV-Gerat wiricsam vor dem Zugriff des Be- 
nutzers zu schiitzen. 

[0046] Die darauf aufbauende Verarbeitungskontrolle ge- 
maB dem beschriebenen Ausfuhrungsbeispiel der Erfindung 
fiihrt die folgenden Schritte durch: Erzeugen einer KontroU- 
anfrage durch eine Zugriffsvorrichtung bei Erfassung eines 
Ereignisses in Zusammenhang mit einem Objekt in einem 
Schritt 101, wobei die KontroUanfrage das Ereignis be- 
schreibende Ereignisinformation und das Objekt beschrei- 
bende Objektinformation enthalt; Obertragen der KonUroU- 
anfrage an eine Steuervorrichtung in einem Schritt 102; 
Auswahlen einer Verarbeitungsvorschrift fiir das Objekt 
aufgrund der Ereignisinformation und Objektinformation 
aus einem Zugriffsinformationsspeicher, der dem Objekt 
und dem Ereignis zugeordnete Verarbeitungsvorschriften 
speichert in emem Schritt 103; und Verarbeitcn des Objekts 
entsprechend der Verarbeitungsvorschrift in einem Schritt 
104. 

[WMT] Dabei kann die Sitscheidung uber das Verfahren 
mit dem Objekt unter Beriicksichtigung des Weges geo-offen 
werden, auf dem das Objekt zu oder aus einem DV-Gerat 
gelangt, und/oder unter Beriicksichtigung von Attributen 
und QuaUtaten des Objektes und/oder unter Beriicksichti- 
gung einer RoUe, die dem Subjekt zugeordnet ist, welches 
das Verfahren initiiert hat. Das Ergebnis der Entscheidung 
1st vorzugsweise das Setzen von Zugrififschutzinformation 
ftir das kontroUierte Objekt sowie die Durchftihrung einer 
definierten Menge von Verarbeitungsschritten. 
[0048] Die Entscheidung uber die Verarbeitung des Ob- 
jekts kann insbesondere von folgenden Faktoren abhangic 
gemacht werden: 

- Attribute Oder nachprufbare QuaUtaten des Objek- 
tes, wie z. B. die Integritat. 

- Freigabe oder Sperrung des Objektes durch eine 
dazu berechtigte Instanz. 

- Kommunikationsweg uber den das Objekt transpor- 
tiert werden soU. 

- Zugehorigkeit zu einer oder mehreren Objektidas- 
sen. 

[0049] Das Ergebnis der tJberprufung kann dabei nicht 
nur die digitale Entscheidung ja/nein sein, sondem kann ein 
Verfahren definieren, wie mit dem Objekt vorgegangen 
wird. Beim Import bzw. Export von Daten konnen solche 
Verfahren beispielsweise sein: 

- Ablehnung des Imports bzw. Exports des Objektes 
od«: eines Tells des Objektes. 

- Import des Objektes, Anfugen von lokalgiiUigerZu- 
griffsschutzinformation entsprechend der Sicherheits- 
poUtik, welche die VerwendungsmogUchkeit durch den 
Anwender festiegt 

- Import des Objektes auf das System in einen Spei- 
cherbereich, der nicht zum ZugrifiF durch das Subjekt 
freigegeben ist. GegebenenfaUs Gewahrung des Zu- 
griffs durch definierte AppUkationen. 

- Auslosung von definierten Verarbeitungsschritten 
beim Transport oder Transportversuch eines Objektes; 
z. B. erzeugen eines Log-Einu^gs oder kontroUierte In- 
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stallation einer Software ohne Benutzerinteraktion. 

[0050] Bei der lokalen Verwcndung von Objekten kdnnen 
solche Verfahren sein: 

5 

- Durchfuhrung oder Ablehnung der angeforderten 
V^ahrensweise und gegebenenfalls Auslosung weite- 
rer Verarbeitungsschritte, wie zum Beispiel Eraeugen 
eines Log-Files.. 

- Ersetzen der angeforderten Verfahrensweise durch lO 
eine andere Verfahrensweise, die durch das Vcrarbei- 
tungskontrollsystem definiert wird. 

[0051] Es ist moglich, dass das zu erfassende Ereignis da- 
bei eine Handhabungsanweisung oder einen tJbertragungs- 15 
versuch nicht nur iiber einen realen, sondem auch iiber einen 
virtuellen Dalenkanal darstellt. 

[0052] Im folgenden wird mit Bezug auf Fig. IB ein wei- 
teres Ausfiihrungsbeispiel der Erfindung beschrieben. 
[0053] Fig. IB zeigt den Aufbau der Zugriffsvorrichtung 20 
zur Verarbeitungskontrolle von Objekten gemaB einem Aus- 
. fuhrungsbeispiel der Erfindung. 

[0054] Die Ereignisse, allgemein mit 1.1 bezeichnet wer- 
den durch Softwarekomponenten 1,2 im DV-Gerat identifi- 
ziert, wie z. B. Geratetreiber, Dienste oder Betriebssystem- 25 
komponenten,.die unter dem Schutz der lokalen System- 
rechte stehen und auf die von einem Benutzbereich 1.6 nicht 
zugegiifFen werden kann. Diese Softwarekomponenten wer- 
den erganzt durch neue Software- Komponenten, welche die 
Ereignisse registrieren und die Verarbeitungskontrolle initi- 30 
ieren. 

[0055] Diese neuen Software-Komponenten werden 
Event-Proxies (EP) 13 genannt. Im Fall einer Handha- 
bungsanweisung wird diese vor der Obergabe an das Be- 
triebssystem von der neuen Komponente entgegengenom- 35 
men und bearbeitet, im Fall eines Datentransports wird die- 
ser durch die neue Komponente kontroUiert. . 
[0056] Der Zugriffsinformationsspeicher 1.4 wird auf 
dem DV-Gerat unter Administratorrechten gehalten und im- 
plementiert die Zugriffsschutzpolitik. Dieser Speicher heiBt 40 
Access Control Data Base (ACDB). 

[0057] Das Ergebnis der KontroUanfrage ist eine Verar- 
beitungsvorschrift 1,5. 

[0058] Im folgenden wird ein Beispiel fur die Funktionali- 
tat eines Event Proxies beschrieben 45 
[0059] Registriert ein Event Proxy ein Ereignis, so liefert 
ihm die ACDB die notwendigen Informationen zur Durch- 
fuhrung des KonUxjUprozesses fur das betroffene Objekt. 
Beim Wunsch des DatOTimjwrts muss hierzu moglicher- 
weise ein Tbil oder .alle Daten in das DV-Gerat ubertragen 50 
werden, jedoch in einen Speicherbereich, der vor dem Be- 
nutzer geschiitzt ist. 

[0060] Das Ergebnis des Kontrollprozesses kann die 
Durchfuhrung einer in der ACDB definierten Verarbeitungs- 
vorschrift durch das EP sein. welche zumindest einen Schritt 55 
der folgenden Liste beinhaltet: 

- Sperrung der tjbertragung des Objekts und Loschen 
der zur Entscheidungsfindung bereits'auf den Rechner 
gelangten Daten; 60 
Freigabe der Ubertragung des Objekts iiber einen Da- 
tenkanal; 

Freigabe des Imports mindestens eines Ibils des Ob- 
jekts und 

Zuordnen lokal giiltiger Zugriffsschutzinformation; 65 

- Freigabe des Imports mindestens eines Ibils des Ob- 
jekts in einen gesicherten Speicherbereich; 

- Freigabe Oder Sperrung der Obertragung des Objekts 
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iiber einen Datenkanal und Auslosen von definierten 
Aktionen bzw. Verarbeitungsschritten. Aktionen kon- 
nen dabei objektunabhangig sein z. B. Erzeugen eines 
Logs, ein Verarbeitungsschritt kann sich auf das Objekt 
beziehen. 

[0061] Im folgenden wird ein Beispiel fiir den Aufbau der 
Access Control Data Base beschrieben. 
[0062] Dabei kann der Zugriffsinformationsspeicher, die 
ACDB, einen ersten Speicherbereich enthalten, mit Ereig- 
nisinfontiation zu einer Vielzahl von Ereignissen und einen 
zweiten Speicherbereich mit Objektinformation zu einer 
Vielzahl von Objekten. 

[0063] Weiter kann die Ereignisinformation in einer 
Baumstruktur mit Ereignisknoten gespeichert sein, wobei 
jedes Ereignis einem Ereignisknoten zugeordnet ist, und die 
Objektinformation kann in einer Bauriistruktur mit Objekt- 
klassenknoten gespeichert sein, wobei jeder Objektklassc 
ein Objektklassenknoten zugeordnet ist. 
[0064] In beiden Baumen der ACDB sind jeweils Knoten 
Generalisierungen darunter liegender Knoten. 
[0065] Das im Folgenden beschriebene Beispiel ftir ein 
Regelwerk zur Abarbeitung dieser Baume bestimmt das Er- 
gebnis einer KontroUanfrage eines ER Dieses Ergebnis be- 
steht aus einer Verarbeitungsvorschrift. 
[0066] Der erste Baum beschreibt die Ereignisse (Event 
Tree, ET). Die Wurzel des ET steht fur "alle Ereignisse". Je- 
dem Event-Proxy des DV-Gerates ist eindeutig ein Knoten 
des ET zugeordnet. Der ET kann weitere Knoten enthalten, 
die nicht eindeutig Event-Proxies zugeordnet sind. Diese 
Knoten heiBen Ereignisknoten. 

[0067] Der zweite Baum beschreibt die Objektklassen 
(Object Tree, OT). Die Wurzel des OT steht fiir."aUe Ob- 
jektklassen", die Knoten entsprechen Objektklassen und 
heiBen Objektklassenknoten. 

[0068] Im folgenden wird ein Beispiel fiir die Attribute 
der Ereignisknoten und der Objektklassenknoten beschrie- 
ben Knoten und Blatter beider Baume haben Attribute. 
Diese konnen mit Vererbungsregeln versehen werden, 
[0069] Das Attribut V (Verarbeitungsvorschrift) tritt in 
beiden Baumen auf und enthalt Verarbeitungskontrollinfor- 
mation. Attribut V setzt sich zusammen aus den Teilattribu- 
ten K (Kriterium), VI (positive Teilverarbeitungsvorschrift) 
und V2 (negative Teilverarbeitungsvorschrift). Das Teilat- 
tribut Kriterium enthalt ein Entscheidungs verfahren mit den 
moglichen Ergebnissen ja oder nein, sowie alle Informatio- 
nen Oder Referenzen auf Informationen, die zur Abwicklung 
des Eptscheidungsverfahrens notwendig sind. Dies kdnnen 
z. B. Listen von Zertifikaten sein. Listen von Instanzen mit 
zugeh5rigen Berechtigungen, Hashwerte und anderes. 
[0070] Das Kriterium betrifft mindestens ein Eleinent der 
folgenden Liste: 

- einen zulassigen urid giiltigen Objektnamen 

- einen giiltigen Hashwert 

- Information Qber den Initiator des Ereignisses 

- eine gultige und zulassige digitale Unterschrift 

- e.ine Verschlusselung und 

- Referenzen aiif notwendige Informationen 

[0071] Das TeilatUibut "positive Teilverarbeitungsvor- 
schrift" definiert die durchzufuhrenden Verarbeitungs- 
schritte bei Ergebnis "ja", und das TeilatUibut "negative 
Ibilverarbeitungsvorschrift" definiert duirchzufiihrende Ver^ 
arbeitungsschritte bei Entscheidung "nein". 
[0072] ET und OT Knoten besitzen jeweils 2 Attribute, 
eine Knotenverarbeitungsvorschrift und eine Liste: 
Das erste Attribut jedes ET-Knotens ist Attribut V, die Kno- 
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tenverarbeitungsvorschrift, welche direkt oder durch Verer- 
bung mit Werten belegt sein muss. 

[0073] Das zweite Attribut der Ereignisknoten ist Attribut 
OL (ObjektklassenUste). Es besteht aus einer Liste vom TVP 
Attribut O (Objektklasse), das als Wert einen Knotennamen 
des OT enthalt. Jeder OT-Knotenname darf nur einmal in 
der Liste auftauchen. Die Liste OL kann auch leer sein. 
[0074] Das erste Attribut jedes Objektklassenknoten ist 
wieder Attribut V, eine Knotenverarbeitungsvorschrift, wel- 
che direkt oder durch Vererbung mit Werten belegt sein 
muss. 

[0075] Das zweite Attribut der Objektklass^knoten ist 
Attribut IL (Instanzenliste). Jedes Listenelement setzt sich 
zusammen aus den Teilattributen Attribut I (Instanzen- 
menge) und Attribut V, der Objektverarbeitungsvorschrift. 
Der Wert von Attribut I identifiziert eine Instanz oder eine 
Menge von Instanzen der zugehorigen Objektklasse. Die Li- 
ste kann auch leer sein. 

[0076] An den einzelnen Knoten konnen auch noch Policy 
Parameter definiert sein, welche die Abarbeitung der Listen 
steuem, z. B. first hit, first positive hit, first negative hit. 
Ohne Einschrankung der Allgemeinheit wird im Folgenden 
der Fall einer sequentiellen Abarbeitung der Attributlisten 
mit der Regel "first hit" beschrieben. 

[0077] Im Uberblick weist das oben beschriebene Beispiel 
folgendes auf: 
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Ereignisknoten 

1. Attribut V (Knotenverarbeitungsvorschrift) 

2. Attribut OL (ObjektklassenHste) 
Liste von Attribut O (Objektklasse) 

Objektklassenknoten 

L Attribut V (Knotenverarbeitungsvorschrift) 
2, Attribut IL (Instanzenliste) 

Liste von 

Attribut I (Instanzenmenge) 

Attribut V (Objektverarbeitungsvorschrift) 

[0078] Im folgenden wird mit Bezug auf Fig. 2 und 3 ein 
weiteres Ausfuhrungsbeispiel der Erfindung beschrieben. 
Fig, 2 und 3 zeigen beispielhaft Aktivitatsdiagramme des 
Ablaufs einer Zugriffsentscheidung. 

[0079] Bei Registriening eines Ereignisses durch einen 
Proxy in einem Schritt 2,1 wird zunachst das zugehorige 
C)bjekt identifiziert sowie versucht das Subjekt zu identifi- 
zieren, welches das Ereignis ausgelost hat. 
[0080] Somit kann die Objektinformation Informationen 
uber ein Subjekt enthalten, welches die Kontrollanfrage in- 
itiiert hat. 

[0081] AnschlieBend wird der eindeutig dem Proxy zuge- 
ordnete Ereignisknoten in Schritt 2.2 besucht. Ist die Ob- 
jektklassenliste dieses Knotens leer, so wird in Schritt 23 
und 2.6 entsprechend der Knotenverarbeitungsvorschrift in 
Attribut V weiterverfahren. Dies kann z. B. der Fall sein, 
wenn der Datenverkehr uber einen Kanal fur alle Daten glei- 
chen Restriktionen unterworfen ist, z. B, voUstandig ge- 
sperrt, Eintrag in Logfile bei Zugriffsversuch. 
[0082] Sind Eintrage in der ObjektklassenUste vorhanden, 
so versucht in Schritt 23 das Proxy der identifizierten Ob- 
jektinstanz eine Objektklasse aus dieser Liste zuzuordnen. 
Dabei wird die Liste sequentiell abgearbeitet. Gelingt die 
Zuordnung nicht, so wird in Schritt 2.6 wieder vorgegangen 
wie in der Knotenverarbeitungsvorschrift vorgesehen. 
[0083] Bei der ersten identifizierten Objektklasse wird in 
Schritt 2,4 der entsprechende Objektklassenknoten des OT 



untersuchL Auch hier wird die Instanzenliste sequentieU ab- 
gearbeitet und gesucht, ob die konkrete Instanz an Hand des 
Attributs I identifiziert warden kann. Wud dabei kein pas- 
sender Eintrag gcfunden, wird in Schritt 2.7 entsprechend 
5 dem Knotenverarbeitungsvorschrift vorgegangen. Sobald 
die erste passende Instanz gefunden ist, wird in Schritt 2S 
nach der zugehorigen Objektverarbeitungsvorschrift verfah- 
ren. 

[0084] In jedem Fall ist in diesem Beispiel also dem iden- 
10 tifizierten Objekt jetzt dne Verarbeitungsvorschrift zuge- 
ordnet worden. ^ 

[0085] In Schritt 3.1 wird das Kriterium der Vorschrift 
uberpriift. Kriterium konnte dabei z. B. sein, dass der Benut- 
zer ein Administrator ist, oder dass eine gultige digitate Un- 
15 terschrift eines berechtigten zu der Instanz vorhanden ist. 
Bei Bedarf werden in Schritt 3.5 weitere Informationen be- 
schafft, die zur Entscheidungsfindung notwendig sind, z. B. 
Zertifikate oder Hashwerte. Wird in Schritt 3.2 die Entschei- 
dung "ja" getrofifen, so werden in Schritt 33 die in der posi- 
20 tiven Teilverarbeitungsvorschrift definierten Aktionen 
durchgefuhrt. Wird die Entscheidung "nein" getroffen, oder 
kann die zur Entscheidungsfindung notwendige Information 
nicht voUstandig beschafft werden, so werden in Schritt 3.6 
die in der negativen TeilvMarbeitungsvorschrift definierten 
25 Aktionen durchgefuhrt. Sowohl positive als auch negative 
Teilveraibeitungsvorschrifl definieren Verarbeitungs- 
schritte, die nun in Schritt 3,7 ausgeftihrt werden konnen. 
[0086] Im Falle einer Containerinstanz kann die Vorschrift 
auch aus der Anweisung bestehen, die Zugriffsentscheidung 
30 auf die Inhalte.des Containers zu beziehen. In diesem Fall 
wird fur jedes Objekt des Containers das gleiche Ereignis 
ausgelost wie ftir den Container selbst und beginnend mit 
Schritt 2.1 mit den Objekten des Containers analog verfah- 
ren. 

35 [0087] Fur die Inhalte der Teilverarbeitungsvorschriften 
sind keine Einschrankungen vorhanden. So kann im positi- 
ven Fall die Verarbeitung z.B darin bestehen, dass ein Pro- 
gramm importiert wird und sich selbst (ohne Benutzerein- 
wirkung) in einer festgelegten Konfiguration und mit defi- 
40 nierten Zugriffsrechten auf dem Rechner installiert. In je- 
dem Fall konnen beispielsweise auch Audit Records ge- 
schrieben werden oder weitere Aktionen ausgelost werden. 
[0088] In der beschriebenen Ausfuhrung kann die Objekt- 
information eine Objektklasse und eine Objektinstanz oder 
45 eine Menge von Objektinstanzen umfassen. 

[0089] Weiter kann in dieser Ausfuhrung eine Verarbei- 
tungsvorschrift eine Knotenverarbeitungsvorschrift oder 
eine Objektverarbeitungsvorschrift sein; Weiter kann einem 
Ereignisknoten ist eine Knotenverarbeitungsvorschrift und 
50 eine ObjektklassenUste mit n >= 0 Objektklassen zugeord- 
net sein, und den Objektklassenknoten eine Knotenverarbei- 
tungsvorschrift und eine Instanzliste mit m >= 0 Listenein- 
tragen, wobei jeder Listeneintrag eine Instanz oder eine In- 
stanzmenge und eine zugehorige Objektverarbeitungsvor- 
55 schrift enthalt; und die Objektverarbeitungsvorschrift eines 
Listeneintrags kann einer positiven Identifizierung zugeord- 
net sein, sowie die Knotenverarbeitungsvorschrift eines Er- 
eignisknotens und die Knotenverarbeitungsvorschrift eines 
Objektklassenknotens einer negativen Identifizierung. 
60 [0090] Das Auswahlen der Verarbeitungsvorschrift kann 
beinhalten: Identifizieren des Ereignisknotens, dem das Er- 
eignis zugeordnet ist; Suchen in der Objektklassenliste des 
identifizierten Ereignisknotens nach einer Objektklasse, die 
das Objekt umfasst; und Verarbeiten des Objekts gemaB der 
65 Knotenverarbeitungsvorschrift, falls in der Objektklassenli- 
ste des identifizierten Ereignisknotens eine Objektklasse, 
die das Objekt umfasst, nicht enthalten ist. 
[0091] Falls in der ObjektklassenUste des identifizierten 
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Ereignisknotens eine Objektklasse, die das Objekt umfasst, 
enthalten ist: Identifizieren des ziigehorigen Objektklassen- 
knotens; Suchen in der Instanzenliste des identifizierten Ob- 
jektklassenknotens nach einer Instanz der die Instanz des 
Objektes entspricht; Auswahl der Objektverarbeitungsvor- 
schrift, welche diesem Instanzlisteneintrag zugeordnet ist; 
V^arbeitung des Objektes gemafi dieser Objektverarbei- 
tungsvorschrift, falls .eine solche gefiinden wurde; und Ver- 
aibeitung des Objektes gemaB der Knotenverarbeitungsvor- 
schrift des identifizierten Objektklassenknoteiis, falls das 
Objekt in der Instanzliste nicht gefiinden wurde. 
[0092] Bel diesem Beispiel kiann die Knotenverarbei- 
tungsvorschrift dcfr Ereignisknoteh eine positive und eine 
negative Knotenteilverarbeitungsvorschrift umfassen; und 
bei Erfiillung eines Ereigniskriteriums wird das Objekt ge- 
maB der positiven Knotenteilverarbeitungsvorschrift und 
bei NichterfuUung des Ereigniskriteriunis gemaB der negati- 
ven Knotenteilverarbeitungs vorschrif t verarbeitet. 
[0093] Somit kann die oben beschriebene Verarbeitungs- 
kontroLLe verwendet werden, um Aktualisierungen in der 
. Steuervorrichtung und/oder im Zugriffsinformationsspei- 
cher vorzunehmen. 

[0094] Weiter kann die Knotenverarbeitungsvorschrift ei- 
. nes Objektklassenknotens eine positive und eine negative 
Knotenteilverarbeitungsvorschrift umfassen, und falls in der 
Instanzliste keine dem Objekt entsprechende Instanz gefun- 
den wurde, wird bei Erfiillung eines Objektklassenknotens- 
kriteriums das Objekt gemaB der positiven Knotenteilverar- 
beitungsvorschrift verarbeitet und bei NichterfuUung des 
Ereigniskriteriums gemaB der negativen Knotenteilverarbei- 
tungsyorschrift. 

[0095] Ebenso kann im dargestellten Verfahren die Ob- 
jektverarbeitungsvorschriften eines Objektklassenknotens 
positive und negative Objektteilverarbeitungsvorschriften 
umfassen, wobei, falls in der Instanzliste des- identifizierten 
Objektklassenknotens eine dem Objekt entsprechende In- 
stanz gefiinden wurde und ein diesem Listeneintrag zuge- 
ordnetes Objektkriterium erfiillt is^, das Objekt geniaB der 
positiven Objektteilverarbeitungsvorschiift verarbeitet wird 
und bei NichterfuUung des Objektkriterium gemaB der ne- 
gativen Objektteilverarbeitungsvorschrift verarbeitet wird. 
[0096] Im folgenden wird ein Beispiel einer Administra- 
tion des Zugriffschutzsystems beschrieben 

ErstinstaUation 

[0097] Die ACDB wird angelegt. Dabei werden von ET 
und OT jeweils die Wurzeln instaUiert und deren Attribute 
gesetzt. Das Attribut 1 bleibt jeweils leer; der Wert der Attri- 
bute 2 wird durch die Security PoUcy bestimmt. Bei einer 
Vererbung der Attribute auf die Nachkommen bedeutet bei- 
spielsweise ein "Vollzugriff fiir Administration" als Atdibut 
2 im den Wurzeln von ET und OT, dass die Administration 
aUe instaUierten KanSle ohne Einschr^kungen verwenden 
kann. Fiir den normalen Benutzer hat dieses Attribut die Re- 
gel "aUes was nicht erlaiibt ist, ist verboten" zur Folge. 
[0098] Ein Default Proxy wird instaUiert und aUen vor- 
handenen Datenkanalen zugeordnet. Dieseni Proxy wird die 
Wurzel des ET als Knoten zugeordnet, es kann die dort ent- 
haltenen Attribute verarbeiten. 

[0099] Das Betriebssystem wird so angepasst, dass jede 
InstaUation eines neuen realen Datenkanals automatisch die 
Einbindung eines EP mit Zuordnung eines Knotens des ET 
nach sich zieht. Wird dieses EP nicht durch die Administra- 
tion expUzit instaUiert, so wird standardmaBig das Default 
Proxy instaUiert. 

[0100] Fur die Administration wird eine SchnittsteUe zur 
Bearbeitung der ACDB bereitgestellt. InstaUation von wei- 
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teren (von realen Datenkanalen unabhangigen) Ereignist- 
ypen mit ihren Proxies wie auch die Administration der 
ACDB kann sowohl interaktiv durch einen Administrator 

' als auch durch ein Programm, das unter Administratoircch- 

s ten ablauft, durchgefiihrt werden. 

Administration 

[0101] In den ET und den OT konnen Knoten geloscht 
10 werden. Attribute geandert werden und neue Knoten hinzu- 
. gefiigt und mit Attributen verschen werden. 
[0102] Beim Hinzufugen eines neuen Ereignistyps wird 
die Einrichtung eines EPs angefordert. Wird dieses explizit 
instaUiert, so muss ihm ein Knoten des ET zugeordnet wer- 
15 den, Geschieht diese Zuordnung nicht, wird die Wurzel zu- 
geordnet. SoU ein neuer Knoten erzeugt und zugeordnet 
werden, so erfolgt dies wie oben beschrieben. Die Entfer- 
nung eines Ereignisses hat nicht automatisch die Entfemung 
des EP und des eritsprechenden Knoten zur Folge; das EP 
20 kann von mehreren Kanalen genutzt werden, ein Knoten 
kann zu mehreren EPs gehoren, ein Knoten kann auch ohne 
Zuordnung zu EPs im Baum existieren. 

Update Mechanismen - KontroUklassen 

25 

[0103] Ein Update des Verarbeitungskontrollsystems 
muss nicht durch einen AdminisUrator vor Ort vorgenom- 
men werden, das bereits installierte KontroUsystem kann im 
Bootstrapping Verfahren verwendet werden, indem etwa ein 

30 Updateprogramm durch eine berechtigte Unterschrift als 
importierbar und ausfiihrbar gekennzeichnet wird. Ein sol- 
ches Update kann z. B. bei jeder Netzanmeldung des Benut- 
zers automatisch voigenommen werden (ohne BeteiUgung 
des Benutzers), dies ist das onUne-ModeU der Administra- 

35 tion, Oder durch den Benutzer mit Hilfe einer CD oder Dis- 
kette (offline ModeU). 

[0104] Die Entscheidungskriterien zur Verarbeitungskon- 
troUe .fiir konkrete Objekte konnen von der Administration 
in verschiedenen Sicherheitsleveln festgelegt werden. Ei- 
40 nige mogUche Level sihd die folgenden: 

low 1: die Entscheidung basiert auf einem ungesichertem 
TeU der zu importierenden Daten, wie z. B. dem Namen ei- 
nes Containers, 

low 2: die Entscheidung basiert auf dem ungesicherten 
45 Hashwert des voUstandigen zu importierenden Datums. 
medium: die Entscheidung basiert auf einer digitals Unter- 
schrift unter das zu importierende Datum, 
high: die Entscheidung basiert auf einer digitalen . Unter- 
schrift unter das verschlusselte zu importierende Datum, 
50 wobei der Schlussel ein Eintrag am entsprechenden Attribut 
der ACDB ist. 

[0105] In den folgenden Beispiele wird die Erfindung an- 
hand weiterer konkreter Auspragungen erlautert: 
In einem ersten Beispiel wird ein virtueUer Datenkanal be- 
55 trachtet 

[0106] Der Kassenbestand einer Bank soU revisonssicher 
verwaltet werden. Es wird davon ausgegangen, dass sich der 
Geldbestand nur bei geoffneter Kasse andem kann. Bei ge- 
offneter Kasse soil stets eine Videoiiberwachung gestartet 
60 werden. Diese Uberwachung halt an bis die Kasse wieder 
geschlossen wird. Stinunt beim Tagesabschluss die Kasse 
nicht, konnen alle Vorgange mit der Aufzeichnung abgegli- 
chen werden. 

[0107] Der einzige Datenkanal in diesem System ist der 
65 Geldtransport von und zur Kasse. Das Ereignis, dass vom 
einzigen Proxy des EDV-Systems der Bank registriert wird, 
ist der Wunsch zum OfFnen der Kasse (siehe 2.1). Der zuge- 
h5rige Ereignisbaum besteht aus einem einzigen Ereignis- 
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knoten mit leercr Objektklassenliste und der Knotenverar- 
beitungsvorschrift (siehe 2.6) "Kasse ofl&ien und Videouber- 
wachung einschalten bis Kasse wieder geschlosscn", die in 
jedem Fall durchgef iihit wird. 

[0108] In einem zweiten Beispiel wird ein datenkanalun- 
abhangiges Ereignis betrachtet 

[0109] In einer Umgebung mit der Notwendigkeit des Ar- 
chivierens juristisch relevanter Tatbestande ist in einem Be- 
triebssytem trotzdem der Standardbefehl "Datei loschen" 
bekannt. Fiihrt ein Benutzer diesen Befehl mit Daten durch, 
die archiviert werden mussen, so wird dieser Befehl durch 
die Erfindung so modifiziert, dass die Anfrage "Datei 16- 
schen" durch ein Kopieren auf den Archivbestand ersetzt 
wird, und erst nach positiver Ruckmeldung des Kopierens 
der lokale Datenbestand geloscht wird. Entsprechend kon- 15 
nen andere Betriebsystembefehle modifiziert werden. 
[0110] Der einzige Proxy des Systems fangt die Befehle 
der Shell ab und untersucht sie. Das ausgeloste Ereignis 
(siehe 2.1) lautet "Betriebsystembefehl empfangen". Das in 
(siehe 2.2) identifizierte Objekt besteht aus dem voUstandi- 20 
gen Befehl einschlieBlich aller Parameter. Das Subjekt ist 
der Eigentumer der Shell. Es gibt nur einen Ereignisknoten. 
Dieser enthalt eine Liste von Objektklassen die durchsucht 
wird (siehe 2.3). Diese sind Betriebssystembefehle mit Para- 
meterklassen: 25 
Ereignisknoten "Betriebssystembefehl": 
Knotenverarbeitungsvorschrift: 

"fuhre Befehl entsprechend den Rechten des Subjekts aus." 
Objektklassenliste: 

Ol: ' '*rm im Verzeichnis /xyz" 30 
02: "mv mit (Quelle im Verzeichnis /xyz" 
03 : "mv mit Ziel im Verzeichnis /xyz" 
OX: "sonstige Befehle im Verzeichnis /xyz" 
[0111] In deri zugehorigen Objektklassenknoten werden 
die Verarbeitungsvorschiiften definiert. Dabei kann in der 35 
Instanzenliste dieser Knoten z. B. fur Unterverzeichnisse 
von /xyz noch unterschiedliches Vorgehen angefordert wer- 
den. Triffl ein rm-Befehl ein, so wird auf den zugehorigen 
Objektklassenknoten verzweigt (2.4). Der Objektklassen- 
knoten zu "rm im Verzeichnis /xyz" konnte wie folgt ausse- 40 
hen: 

Objektklassenknoten "rm im Verzeichnis /xyz": 
Knotenverarbeitungsvorschrift: 
Kriterium: Benutzer darf auf /xyz schreiben 
Pos. Teilverarbeitungsvorschrift: "Kopiere auf Archivbe- 45 
stand /xyz/abc, fuhre anschlieBend Befehl durch" 
Neg. Teilverarbeitungsvorschrift: "Befehl ablehnen" 
Instanzenliste: 

II: "rm im Verzeichnis /xyz/abc" 

V 1 : "Befehl immer ablehnen" 50 
[0112] Besitzt das Subjekt Schreibberechtigung auf /xyz, 
so kann er eine Datei loschen, diese wird allerdings dann in 
ein Verzeichnis kopiert (z. B. auf ein Magnetband), fur wel- 
ches kein Subjekt Loschberechtigung hat. 
[0113] Fig, 4 zeigt ein Blockdiagramm einer Vorrichtung 55 
zur Verarbeitungskontrolle von Objekten gemafi einem Aus- 
fuhrungsbeispiel der Erfindung. Ijn einem dritten Beispiel 
wird nunmehr unter Bezug auf Fig. 4 ein Notebook mit rea- 
len Daten kanalen betrachtet. 

[0114] In dem im Folgenden beschriebenen Ausfuhrungs- 60 
beispiel (vergleiche Fig. 4) beinhaltet die UberU^gung des 
Objektes uber den Datenkanal einen Import in eine oder ei- 
nen Export aus einer Datenverarbeitungsvorrichtung von/zu 
einem Peripheriegerat oder von/zu einem Netzwerk. 
[0115] Weiter kann in diesem Beispiel der JZugriffsvor- 6$ 
richtung eine Vielzahl von Datenkanalen zugeordnet sein. 
[0116] Die Datenverarbeitungsvorrichtung ist ein Note- 
book, das in ein Netzwerk eingebunden ist, aber nicht immer 
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onUne sein muss. Dabei wird die folgende Konfiguration ge- 
wunscht: Drucken ist dem Benutzer uber die lokal installier- 
ten Drucker Ijl 4.1 und lj2 4.2 ohne Einschrankungen er- 
laubt. Diese Drucker werden durch die entsprechenden Trei- 
► ber 4.6 und 4.7 angesteuert. Fur alle Drucker ist nur ein 
Drucker-Proxy 4.12 installiert Als Datenkanal ist fiir einen 
bestimmten Benutzer CD 43 mit dem zugeh5rigen Tteiber 
4.8 und Proxy 4,13 zugelassen. tJber das CD-Laufwerk ist 
das Lesen von CDs moglich, die von der Administration 
' freigegeben sind. Ausfuhrbare Dateien sind jedoch vom An- 
wender nicht uber CD-Laufwerk importierbar. Audio und 
\^deo-Daten konnen iiber CD generell gelesen werden; Vi- 
deos Jedoch nur Uber einen definierten Player. 
[0117] Als Netzdienste sind ftp 4.9 zum Import besdmm- 
ter zip-Dateien sowie http 4.10 iiber den Intranet-Proxy er- 
laubt. Diese werden iiber die Netzkarte 4.4 abgewickelt. Fiir 
diese beiden Dienste mussen Proxies 4.14, 4.15 instalHert 
werden. 

[0118] Das Update des Notebooks soil sowohl uber CD 
als auch uber ftp moglich sein. 

[0119] Andere Datenkanale 4.5 mit ihren zugehorigen 
Treibem 4.11, z. B. Diskette, Modem sind gesperrt und nur 
durch bestimmte Adndnistratoren verwendbar. FUr alle 
diese weiteren Kanale ist das Default Proxy 4.17 zustandig. 
[0120] Die Verarbeitungsvorschrift wird durch ein Proxy 
unter Verwendung der ACDB 4.14 ausgewahlt. 
[0121] Die ausgewahlte Verarbeitungsvorschrift kann er- 
lauben, dass der Benutzer die Daten in seinen Bereich 4.18 
importiert oder dass er mit eigenen Applikationen 4.19 auf 
Daten zugreift. 

[0122] Es ist aber auch moglich, dass Daten zunachst in 
den Sicherheitsbereich 4.20 importiert werden, auf den der 
Benutzer keinen Zugrifif hat. Die Verarbeitungsvorschrift 
kann dann nach Abschluss des KontroUvorgangs diese Da- 
ten entweder wieder loschen, oder dem Benutzer zur Ver- 
wendung zur Verfiigung steUen, oder den Zugrifif durch Si- 
cherheitsapplikationen 4.21 erlauben oder steuem. 
[0123] Im folgenden wird mit Bezug auf Fig. 5 ein weite- 
res Ausfuhrungsbeispiel der Erfindung beschrieben. 
[0124] Fig. 5 steUt den Aufbau der beiden Baume der 
ACDB des Beispiels von Fig. 4 dar. Dabei wird bei der Ab- 
arbeitung der Listen vom Prinzip "first hit" ausgegangen. Im 
Folgenden werden die Attribute der beiden Baume zusam- 
mengestellt. 

Attribute im Event Tree 
alle Ereignisse 5.1 

Knotenverarbeitungsvorschrift: 
K: Benutzer ist AdminisUrator xy? 
pV: Vollzugriff erlaubt, erzeuge Log. 

n V: Kein Zugrifif, losche bereits importierte Daten, schreibe 
Log. 

Objektklassenliste: leer 

Drucker 5.2 

Knotenverarbeitungsvorschrift: 
K: immer ja 
pV: drucken erlaubt. 
nV:- 

Objektklassenliste: leer 

CT>5.3 

Knotenverarbeitungsvorschrift: 
Geerbt von "alle Ereignisse" 
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Objektklassenliste: 

Ol : Container CD-Inhalt 

02: Container Dateiverzeichnis 

03: Ausfuhrbare Dateien (*.exe, *.bat, *.com, *.dll) 

04: Audio 

05: Video 

06:ZIP 
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Dateiverzeichnis 5.10 



Knotenverarbeitungsvorschrift: 
K: immer ja 
s pV: iiberprufe Inhalt des Verzeichnisses 
nV:-^ 

Instanzenliste: leer 



Netzdienste 5 A 

Knotenverarbeitungsyorschrift: 
Geerbt von "alle Ereignisse" 
Objektktassenliste: 
01:leer 

ftp 5.5. 

Knotenverarbeitungsvorschrift: 
K: immer nein 



ausfuhrbare Dateien'5.11 



10 



. Instanzenliste: leer 
Knoten verarbei tungs vorschri ft: 
geerbt von "alle.Objektklassen" 

15 ZIP 5.12 



pV:- 

nV: Wamung an Benutzer, losche bereits importierte Daten. 
Objektklassenliste: 

01:ZIP , 
http 5.6 

Knotenverarbeitungsvorschrift: 
K: Partner - Intranet Proxy? 
pV: lesen und schreiben erlaubt. 
nV: Wamung an Benutzer 
Objektklassenliste: leer 

Attribute im Object IVee 

alle Objektklassen 5.7 

Knotenverarbeitungsvorschrift: 
K: Benutzer ist Administrator xy? 
pV: Vollzugriff erlaubt, erzeuge Log 

n V: Kein Zugriff, losche bereits importierte Daten, schreibe 
Log. 

Instanzenliste: leer 

CD-Inhalt5.8 

Knotenverarbeitungsvorschrift: 
geerbt von "alle Objektklassen" 
Instanzenliste: 
1 1 : alle mit Unterschrift 
VI: K: Unterschrift von uvw enthalten? 
pV: importiere setup.exe in Sicherheitsbasis, fuhre setup 
aus, erlaube setup Zugrifif auf CD, schreibe Log 
n V: falls ungultige Unterschrift: schreibe Log, wame Benut- 
zer. Falls ohne Unterschrift: iiberprUfe Inhalt des Containers 
12: alle 

V2: K: CD-ID lokal vorhanden und Hashwert stimmt mil lo- 
kalem Hashwert uberein? 
pV: gebe. CD-Inhalt zum Import frei 
nV: uberprufe Inhalt des Containers 

Dateien 5.9 

Knotenverarbeitungsvorschrift: 
geerbt von "alle Objektklassen" 
Instanzenliste: leer 



Knotenverarbeitungsvorschrift: 

geerbt von "alle Objektklassen" 

Instanzenliste: 
20 II: name = "acupdate.zip" 

VI: K: Anfrage kommt von OT Knoten "ftp" oder "CD" und 

Unt«^hrift von Berechtigtem enthalten? 

pV: importiere in Sicherheitsbasis, entpacke, fiihie setup 

aus, falls noch nicht geschehen, schreibe Log 
25 nV: wame Benutzer, schreibe Log 

12: name = "angebotsdaten.zip" 

V2: K: Anfrage kpnunt von OT Knoten "ftp" und Unter- 
schrift von Berechtigtem enthalten? 

pV: importiere in Sicherheitsbasis, entpacke, kopiere Inhalt 
30 in Angebotsverzeichnis, schreibe Log 
nV: wame Benutzer, schreibe Log 

Multimedia 5.13 

35 Knotenverarbeitungsvorschrift: 
geerbt von "alle Objektklassen" 
Instanzenliste: leer 



40 



45 



SO 



55 



Audio 5.14 

Knotenverarbeitungsvorschrift: 

geerbt von ,"alle Objektklassen" Instanzenliste: 

II: aUe 

VI: K: immer ja 

pV: Zugriff durch beliebige Benutzerapplikation erlaubt 
nV: - 

Video 5.15 

Knotenverarbeitungsvorschrift: 

geerbt von "alle Objektklassen" Instanzenliste: 

11: aUc 

VI: K: immer ja 

pV: Zugriff durch definierte Applikaiion erlaubt 
nV:- 

[0125] Fur die folgenden Falle soil* der Ablauf der Verar- 
beitungskontrolle in diesem konkreten Beispiel beschrieben 
werden: 



60 Lesen von Dateien von einer nicht freigegebenen CD 

[0126] In diesem Beispiel steht das Objekt in Beziehung 
zu der Zugriffsvorrichtung und/oder dem Zugrifi'sinfonnati- 
onsspeicher. Dabei beinhaltet die Auswahl der Verarbei- 
65 tungsvorschrift ein tJberprufen von Attributen und/oder 
nachprufbaren Qualitaten des Objekts. 
[0127] Ebenso beinhaltet die Auswahl der Verarbeitungs- 
vorschrift eine BerUcksichtigung der RoUe des Subjekts, 
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welches die Kontrollanfrage initiiert hat. 
[0128] Der CD-Proxy 4,14 ericennt, dass eine CD einge- 
legt wird (siehe 2.1). Im CT)-Ereignisknoten S3 wird als 
Objekt ein CD-Inhalt ohne Signatur identifiziert (siehe 2.2). 
Der passende Listeneintrag (siehe 2.3) hierzu ist die Objekt- 5 
klasse CD-Inhalt. Der entsprechenden Knoten 5.8 im OT 
wird besucht. Dort wird die Liste der Instanzen abgearbeitet 
(siehe 2.4) und die Objektverari>eitungsvorschrift der zwei- 
ten Instanzenmenge ("aUe") ausgefuhrt (siehe 2.5). Ist die 
CD-ID in einer lokalen Datenbasis bekannt, so wird der 10 
Hashwert der CD gebildet und mit dem lokal vorhandenen 
Hashwert verglichen (siehe 3.5). Stimmen diese uberein, so 
ist die CD freigegeben und das Objektklassenkriterium'er- 
gibt "ja" (siehe 3.2). Die positive TeUverarbeitungsvor- 
schrift wird durchgefiihrt (siehe 3.3), die CD kann vom Be- 15 
nutzer frei verwendet werden. Ist die CD-ID nicht bekannt, 
so gibt es auch keinen Hashwert in der lokalen Datenbasis, 
das Kriterium ergibt "nein", genau wie im Fall eines ungul- 
tigen Hashwertes und die negative Teilverarbeitungsvor- 
schrift wird durchgefiihrt (siehe 3.6). Der Proxy importiert 20 
daraufhin das Dateiverzeichnis und uberpruft die Objekt- 
klassen der einzehien Dateien. Im CD-Ereignisknoten 53 
konnen Dateiverzeichnisse, Audio, Video, Zip und ausfuhr- 
bare Dateien identifiziert werden und dann der entspre- 
chende Objektklassenknoten besucht werden. 25 
[0129] Bei Verzeichnissen 5,10 wird wieder der Inhalt 
uberpruft, bis schlieBlich auf Dateien gestoBen wird. 
[0130] Bei ausfuhrbaren Dateien 5.11 ergibt das Kriterium 
im zugehorigen Objektklassenknoten fur einen gewohnli- 
chen Benutzer immer "nein". Beim IVp zip 5.12 kann der 30 
Benatzer zwar keine Dateien importieren, gegebenenfalls 
kann jedoch ein Systemupdate durchgefuHrt werden (siehe 
unten). Bei Audio und Videodateien gelten die Kriterien der 
zugehorigen Objektklassenknoten 5.14 bzw. 5.15, das heiBt 
sie kdnnen abgespielt werden, wobei Videodateien dem Be- 35 
nutzer nur fiir den Zugriff mit einer ztigelassenen Applika- 
tion angeboten werden. 

[0131] Bei unbekannten Objektklassen wird der Import 
direkt im CD-Ereignisknoten 53 abgelehnt, falls der Benut- 
zer nicht der Administrator xy ist. Die entsprechende Verar- 40 
beiiungsvorschrift wurde von der Wurzel 5.1 geerbt. 
[0132] Will nun der Benutzer zum Beispiel mit einem Da- 
teimanager auf den Inhalt der CD zugreifen, werden ihm 
von dem Dateimanager nur die importierbaren Dateien und 
Verzeichnisse angeboten. 45 
[0133] Im weiteren wird ein Beispiel fiir ein Update des 
Zugriffschutzsystems beschrieben. 

[0134] Das Zugriffsschutzsystem kann verwendet werden 
urn die eigene ACDB zu aktualisieren und auch um neue 
Oder aktualisierte Proxies zu installieren. Beispielsweise 50 
konnen auf diese Art und Weise Hashwerte von neu zur Ver- 
wendung fteigegebenen CDs in die ACDB eingetragen wer- 
den, es konnen also (auch tiber ftp) CDs in sicherer Weise 
freigegeben oder gesperrt vt'erden, auch solche, die nicht 
von der administrierenden Stelle selbst ausgegeben werden. 55 
[0135] Legt der Benutzer eine CD ein, welche eine Datei 
mit dem Namen acupdate.zip enthalt, so wird wie im letzten 
Punkt beschrieben auf den Objektklassenknoten ZIP (5.12) 
verzweigt Diese Datei kann auch uber ftp (automatisch oder 
durch Benutzeraktion) in das Notebook gelangen, der zuge- 60 
horige Ereignisknoten (5.5) erlaubt dies. In diesem Fall wird 
sie zunachst in einen dem Benutzer nicht zuganglichen Si- 
cherheitsbereich importiert (4.20). Es wird nun untersucht, 
ob der Inhalt die gultige Unterschrift einer beiechtigten 
Stelle tragt. Ist dies der Fall so wird automatisch die Datei 65 
entpackt und ein Systemupdate durchgefiihrt. 
[0136] Im Folgenden wird nun ein Beispiel fiir ein Instal- 
lieren freigegebener Software tiber CD beschrieben 
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[0137] Bei Einlegen der entsprechenden CD wird wieder 
auf den Objektklassenknoten CD-Inhalt (5.10) verzweigt 
Der CD-Inhalt tragt jedoch eine Unterschrift, die vom Proxy 
uberpruft werden kann. Ist es die korrekte Unterschrift einer 
berechtigten SteUe, so wird die CD zum Import in den Si- 
cherheitsbereich freigegeben. Das immer auf einer solchen 
CD enthaltene Programm setup.exe wird unter Administra- 
torrechten ausgefiihrt und installiert die auf der CD enthal- 
tene Software mit einer definierten Konfiguration, die ent- 
weder auf der CD selbst oder in der ACDB enthalten sein 
kann. 

[0138] In einem weiteren Ausfuhrungsbeispiel kann Pro- 
gramm bereitgestellt sein, mit Instruktionen zum Ausfuhren 
der vorhergehend beschriebenen Schritte. Weiter kann ein 
Computer lesbares Medium bereitgesteUt sein, in dem ein 
Programm verkorpert ist, vi^obei das Programm einen Com- 
puter anweist, die vorhergehend beschriebenen Schritte aus- 
zufiihren. Ein Computerprogrammprodukt kann das Com- 
puter lesbare Medium umfassen. 

[0139] Im Folgenden werden weitere Beispiele einiger 
Begriffe und Elemente der Beschreibung erlautert. Es wird 
darauf hingewiesen, dass die jeweihgen Erlauterungen le- 
diglich weitere Beispiele darstellen und nicht als beschran- 
kend auszulegen sind. 

DV-Gerat: ein Hardware-Element oder eine Ansammlung 
von Hardware-Elementen (z. B. ein oder ein Intranet), in 
welchem definierte Schnittstellen zur Kommunikation exi- 
stieren. 

Benutzer: Ein Benutzer kann eine Person oder ein Pro- 
gramm sein, der/dem durch Betriebssystemmittel Zugriff 
auf Telle des DV-Gerates gewahrt ist. 
Objekte: Objekte sind elementare Objekte oder Container. 
Elementare Daten: digitale Daten oder Objekte der realen 
Welt, deren Existenz und Semantik in digitale Daten abge- 
bildet werden kann. 

Digitale Daten: Dateien in elektronischer Form mit beliebi- 
gem Inhalt und Format oder digitale Datenstrome. Dies kon- 
nen auch aktive Elemente sein, beispielsweise Programme, 
die Aktionen auf einem DV-Gerat auslosen konnen. 
Container Zusammenfassungen von elementaren Daten 
(z. B. Dateiverzeichnisse oder der voUst&idige Inhalt einer 
CD Oder ein Bundel Geldscheine) 

Objektklassen: Die Zugehorigkeit eines Objektes zu einer 
Klasse wurd definiert durch Attribute und Qualitaten, die ei- 
nem Objekt zugeordnet werden konnen, wie z. B. Dateiex- 
tensions, Dateinamen oder digitale Unterschriften. 
Objektinstanz: konkrete Auspragung einer Objektklasse. 
Datenkanal: Schnittstelle, uber welche Objekte in ein DV- 
CJerat eintreten oder es verlassen. 

Ereignis: Handhabungsanweisung fiir Objekte oder ein 
Ubertragungsversuch uber einen realen oder virtueUen Da- 
tenkanal. 

Patentanspriiche 

1 . Verfahren zur Verarbeitungskontrolle von Objekten, 
mit den Schritten: 

Erzeugen einer KontroUanfrage durch eine Zugriffs- 
vorrichtung bei Erfassung eines Ereignisses in Zusam- 
menhang mit einem Objekt, wobei die Kontrollanfrage 
das Ereignis beschreibende Ereignisinformation und 
das Objekt beschreibende Objektinformation enthalt; 
Ubertragen der Kontrollanfrage an eine Steuervgrrich- 
tung; 

Auswahlen einer Verarbeitungsvorschrift fiir das Ob- 
jekt aufgrund der Ereignisinformation und Objektin- 
formation aus einem Zugriff*sinformationsspeicher, der - 
dem Objekt und dem Ereignis zugeordnete Verarbei- 
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tungsvorschriften speichert; und 

Verarbeiten des Objekts entsprechend der Verarbei- 

tungsvorschrift. 

2. Verfahren nach Anspruch 1, wobei das &eignis eine 
Handhabungsanweisung oder eine Anweisung fiir ei- 5 
nen tJb.ertragungsversuch iiber einen realen oder virtu- 
elien Datenkanal darstelit. 

3. Verfahren nach Anspruch 2, wobei die Anweisung 
zur Obertragung des Objektes uber den. Datenkanal ci- 
pen Import des Objektes in eine oder einen Export aus lO 
ciner.Datenverarbeitungsvonichtung von/zu einein Pte- 
ripheriegerat oder von/zu einem Netzwerk beinhaltet. 

4. Verfahren nach mindestens einem der Ansprilche 2 
und 3, wobei eine Vielzahl von Datenkan^en der Zu- 
grifFsvorrichtung zugeordnet ist. . 15 

5. Verfahren nach mindestens einem der Anspriiche 
2-4, wobei die Objektinformation Information iiber ein 
Subjekt enthalt, welches das Ereignis initiieit hat 

6. Verfahren nach mindestens einem der Anspriiche 
1-5, wobei die Verarbeitungsvorschrift zumindest ei- 20 
nen Schritt der folgenden Liste beinhaltet: 

- Freigabe oder Sperrung der Obertragung des 
Objektes uber einen Datenkanal; 

- Freigabe des Imports mindestens eines Teils 
des Objektes und Zuordnen von lokal gtiltiger Zu- 25 
griffsschutzinformation; 

- Freigabe des Imports nundestens eines Teils 
des Objektes in einen gesicherten Speicherbe- 
reich; 

- Freigabe oder Sperrung der Obertragung des 30 
Objektes iiber einen Datenkanal und Auslosung 
von definierten Verarbeitungsschritten. 

7. Verfahren nach mindestens einem der Anspriiche 
1-6, wobei das Objekt in Beziehung steht zu der Zu- 
griffsvorrichtung und/oder dem Zugrififsinformations- 35 
speicher. 

8. Verfahren nach mindestens einem der Anspriiche 
1-7, wobei die Auswahl der Verarbeitungsvorschrift 
ein Uberpriifen von Attributen und/oder nachpriifbaren 
Qualitaten des Objektes beinhaltet 40 

9. Verfahren nach mindestens einem der Anspriiche 
1-8, wobei die Auswahl der Verarbeitungsvorschrift 
eirie Beriicksichtigung der RoUe des Subjektes beinhal- 
tet, welches das Ereignis initiiert hat. 

10. Verfahren nach mindestens einem der Anspriiche 45 
1-9, wobei der Zugrififsinformationsspeicher einen er- ' 
sten Speicherbereich mit Ereignisinformation zu einer 
Vielzahl von Ereignissen und einen zweiten Speicher- 
bereich mit Objektinformation zu einer Melzahl von 
Objekten enthalt. 50 . 

11. Verfahren nach mindestens einem der Anspriiche 
1-10, wobei die Ereignisinformation in einer Baum- 
struktur mit Ereigniskiioten gespeichert ist, wobei je- 
des Ereignis einem Ereignisknoten zugeordnet ist, und 
die Objektinformation in einer Baumstruktur mit Ob- 55 
jektklassenknoten gespeicheri ist, wobei jeder Objekt- 
klasse ein Objektknoten zugeordnet ist. 

12. Verfahren nach mindestens einem der Anspriiche 
1-11, wobei die Objektinformation eine Objektklasse 
und eine Objektinstanz oder eine Menge von Objektin- 60 
stanzen umfasst. 

13. Verfahren nach mindestens einem der Anspriiche 
1-12, wobei 

eine Verarbeitungsvorschrift eine Knotenverarbei- 
tungsvorschrift oder eine Objektverarbeitungsvor- 65 

schrift ist; 

einem Ereignisknoten eine Objektklassenliste mit n >= 
0 Objektklassen und eine Knotenverarbeitungsvor- 
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schrift zugeordnet sind, und den Objektknoten eine 
Knoten verarbeitungsvorschrift und Instanzlisten mit m 
>= 0 Listeneintragen zugeordnet sind, wobei jeder Li- 
steneintrag eine Instanz oder cine Instanzmenge und 
eine zugehdrige Objektverarbeitungsvorschrift enthalt; 
und . 

die Objektverarbeitungsvorschrift eines Listeneinirags 
einer positiven Identifizierung zugeordnet ist, sowie 
die Knotenverarbeitungsvorschrift eines Ereigniskno- 
tens und die knotenverarbeitungsvorschrift eines Ob- 
jektknolcns einer ncgativcn Identifizicning. 

14. Verfahrra nach mindestens einem der Anspriiche 
11-13, wobei das Auswahlen der Verarbeitungsvor- 
schrift beinhaltet 

Identifizieren des Ereignisknotens, dem der Ereignis 
zugeordnet ist; 

Suchen in der Objektklassenliste des identifizierten Er- 
eignisknotens nach einer Objektklasse, die das Objekt 
umfasst; und 

Verarbeiten des Objektes gemaB der Knotenverarbei- 
tungsvorschrift, falls in der Objektklassenliste des 
identifizierten Ereignisknotens eine Objektklasse, die 
das Objekt umfasst, nicht enthalten ist 

15. Verfahren nach mindestens einem der Anspriiche 1 
und 14, wobei 

die Verarbeitungsvorschrift eine positive und eine ne- 
gative Teilverarbeitungsvorschrift umfasst; und 
bei Erfullung eines Ereigniskriteriums das Objekt ge- 
maB, der positiven Knotenteilverarbeitungsvorschrift 
verarbeitet wird und bei Nichterfiillung des Ereignis- 
kriteriums das Objekt gemaB der negativen Knotenteil- 
verarbeitungsvorschrift verarbeitet wird. 

16. Verfahren nach Anspruch 15, wobei das Ereignis- 
kriterium mindestens ein Element der folgenden Liste 
betreffen karm: 

- einen zulassigen und gultigen Objektnamen; 

- einen giiltigen Hashwert; 

- Information iiber den Initiator der Objektan- 
frage; 

- eine giiltige und zulassige digitale Unterschrift; 

- eine Verschliisselung; und 

- Referenzen auf notwendige Information. 

17. Verfahren nach riiindestens einem der Anspriiche 
13-16, einschheBlich, falls in der Objektklassenhste 
des identifizierten Ereignisknotens eine Objektklasse, 
die das Objekt umfasst, enthalten ist: 
Identifizieren des zugehorigen Objektklassenknotens; 
Suchen in der Instanzenliste des identifizierten Objekt- 
klassenknotens nach einer Instanz, der die Instanz des 
Objektes entspricht; 

Auswahl der Objektverarbeitungsvorschrift, welche 
diesem InstanzUsteneintrag zugeordnet ist; 
Verarbeitung des Objektes gemass dieser Objektverar- 
beitungsvorschrift, falls eine solche gefunden wurde; 
und 

Verarbeitung des Objekts gemass der Knotenverarbei- 
tungsvorschrift des identifizierten Objektklassenkno- 
tens, falls das Objekt in der Instanzliste nicht gefunden 
wurde. 

18. Verfahren nach mindestens einem der Anspriiche 
13-17, wobei die Knotenverarbeitungsvorschrift eines 
Objektknotens eine positive und negative Knotenteil- 
verarbeitungsvorschrift umfasst und, falls in der In- 
stanzliste keine dem Objekt entsprechende Instanz ge- 
fimden wurde, bei Erfiillung eines Objektknotenkriteri- 
ums das Objekt gemass der positiven Knotenteilverai*- 
beitungsvorschrift verarbeitet wird und bei Nichterfiil- 
lung des Objektknotenkriteriums das Objekt gemass 
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der negativen Knotenteilverarbeitungsvorschrift verar- 
beitet wird. 

19. Verfahren nach mindestens einem der Anspruche 
13-18, wobei die Objektverarbeitungsvorschriften ei- 
nes Objektknotens positive und negative ObjektteUver- 5 
arbeitungsvorschriften umfassen, und wobei, faUs in 
der InstanzUste des identifizierten Objektknotens eine 
dem Objekt entsprechende Instanz gefunden wurde 
und ein diesem Listeneintrag zugeordnetes Objektkri- 
tenum erftiUt ist, das Objekt gemass der positiven Ob- 10 
jektteilverarbeitungsvorschrift verarbeitet wird und bei 
NichterfuUung des Objektkriteriums das Objekt gemaB 
der negativen Objektteilverarbeitungsvorschrift verar- 
beitet wird. 

20. Verfahren nach mindestens einem der Anspruche 15 
1-19, wobei im Falle einer Containerinstanz die Verar- 
beitungsvorschrift aus der Anweisung besteht, die Zu- 
griffsentscheidung auf die Inhalte des Containers zu 
beziehen. 

21. Verfahren nach mindestens einem der Anspruche 20 
1-20, wobei die VerarbeitungskontroUe verwendet 
wird, um Aktualisierungen in der Steuervorrichtung 
und/oder im Zugriffsinformationsspeicher vorzuneh- 
men. 

22. Ein Programm mit Instruktionen zum Ausfuhren 25 
des Verfahrens nach mindestens einem d^ vorhexge- 
henden Anspruche. 

23. Ein Computer lesbares Medium, in dem ein Pro- 
gramm verkorpert ist, wobei das Programm einen 
Computer anweist, das Verfahren nach mindestens ei- 30 
nem der Anspruche 1-21 auszufiihren. 

24. Ein Computerprogrammprodukt, das Computer 
lesbare Medium nach Ansp 

25. Vorrichtung zur VerarbeitungskontroUe von Ob- 
jekten, umfassend: 35 
eine Zugrififevorrichtung, um eine Kontrollanfrage bei 
Erfassung eines Ereignisses in Zusanamenhang mit ei- 
nem Objekt zu erzeugen, wobei die KontroUanfrage 
das Ereignis beschreibende Ereignisinformation und 
das Objekt beschreibende Objektinformation endialt; 40 
einen Zugriffsinformationsspeicher, um dem Objekt 
und dem Datenkanal zugeordnete Verarbeitungsvor- 
schriften zu Speichem; und 

eine Steuervorrichtung, um die KontroUanfrage zu 
empfangen und aufgrund der Ereignisinformation und 45 
Objektinformation eine Verarbeitungsvorschrift fur das 
Objekt auszuwahlen und um eine Verarbeitung des Ob- 
jekts entsprechend der Verarbeitungsvorschrift zu be- 
wirken. 

26. Vorrichtung nach Anspruch 25, wobei die Daten- 50 
kanale Verbindungen zu Peripherieg«:aten einer Da- 
tenverarbeitungsvorrichtung darsteUen. 

27. Vorrichtung nach mindestens einem der Anspru- 
che 25 und 26, wobei die Datenkanale Verbindungen 

zu Oder extemen Vorrichtungen in einem Netzwerk 55 
darsteUen. 

28. Vorrichtung nach mindestens einem der Anspru- 
che 25-27, wobei das Ereignis eine Handhabungsan- 
weisung Oder eine Anweisung fur einen Ubertragungs- 
versuch iiber einen realen oder virtueUen Datenkanal 60 
darsteUt. 

29. Vorrichtung nach Anspruch 28, wobei die Anwei- 
sung zur Ubertragung des Objektes uber den Datenka- 
nal einen Import des Objektes in eine oder einen Export 
aus einer Datenverarbeitungsvorrichtung von/zu einem 65 
Peripheriegerat oder von/zu einem Netzwerk beinhal- 
tet. 

30. Vorrichtung nach mindestens einem der Anspru- 
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Che 25-29, eine Vielzahl von Datenkanalen umfassend, ' 
die der Zugnifsvorrichtung zugeordnet ist. 

31. Vorrichtung nach mindestens einem der AnsprU- 
che 25-30, wobei die Objektinformation Information 
uber em Subjekt enthait, welches das Ereignis ihitiiert 
hat. 

32. Vorrichtung nach mindestens einem d&c Anspru- 
che 25-31, mit einer Vorrichtung zur Veranlassung, in 
Ubereinstimmung mit der Verarbeitungsvorschrift, zu- 
mindest eines Schrittes der folgenden Liste: 

- Frcigabe oder Sperrung der Ubertragung des 
Objektes uber einen Datenkanal; 

- Freigabe des Imports mindestens eines Teils 
des Objektes undZuordnen von lokal gtiltiger Zu- 
griffsschutzinformation; 

" Freigabe des Imports mindestens eines Teils 
des Objektes in einen gesicherten Speicherbe- 
reich; 

- Freigabe oder Sperrung der Ubertragung des 
Objektes uber einen Datenkanal und Auslosung 
von definierten Verarbeitungsschritten. 

33. Vorrichtung nach mindestens emem dec Anspru- 
che 25-32, wobei das Objekt in Beziehung steht zu der 
Zugnffsvorrichtung und/oder dem Zugriflfsinformati- 
onsspeicher. 

34. Vorrichtung nach mindestens einem der Anspru- 
che 25-33, mit einer Vorrichtung zur Oberpriifung von 
Atuibuten und/oder nachpriifbaren QuaUtaten des Ob- 
jektes und einer dem entsprechenden Auswahl der Ver- 
arbeitungsvorschrift. 

35. \forrichtung nach mindestens einem der Ansprii- 
che 25-34, mit einer Vorrichtung zur Berucksichtigung 
der RoUe des Subjektes, welches das Ereignis initiiert 
hat, und emer dem entsprechenden Auswahl der Verar- 
beitungsvorschrift. 

36. Vorrichtung nach mindestens einem der Anspru- 
che 25-35, wobei der Zugriffsinformationsspeicher ei- 
nen ersten Speicherbereich mit Ereignisinformation zu 
einer Vielzahl von Ereignissen und einen zweiten Spei- 
cherbereich mit Objektinformation zu einer Vielzahl 
von Objekten endialt. 

37. Vorrichtung nach mindestens einem der Anspru- 
che 25-36, mit einer Baumstruktur mit Ereignisknoten 
in der die Ereignisinformation gespeichert ist, wobei 
jedes Ereignis einem Ereignisknoten zugeordnet ist, 
und mit einer Baumstruktur mit Objektklassenknoten 
in d^ die Objektinformation gespeichert ist, wobei je- 
der Objektidasse ein Objektidassenknoten zugeordnet 
ist. 

38. Vorrichtung nach mindestens einem der Anspru- 
che 25-37, wobei die Objektinformation eine Objekt- 
klasse und eine Objektinstanz oder eine Menge von 
Objektinstanzen umfasst. 

39. Vorrichtung nach mindestens einem der AnsorU- 
che 25-38, wobei ^ 
eine Verarbeitungsvorschrift eine Knotenverarbei- 
tungsvorschrift oder eine Objektverarbeitunesvor- 
schrift ist; * 

einem Ereignisknoten eine ObjektidassenUste mit n >= 
0 Objektklassen und eine Knotenverarbeitungsvor- 
schrift zugeordnet sind, und den Objektklassenknoten 
eine Knotenverarbeitungsvorschrift und InstanzUsten 
nut m >= 0 Listeneintragen zugeordnet sind, wobei je- 
der Listeneintrag eine Instanz oder eine Instanzmenge 
und eme zugehorige Objektverarbeitungsvorschrift 
enthait; und 

die Objektverarbeitungsvorschrift eines Listeneintrags 
emer positiven Identifizierung zugeordnet ist, sowie 



DE 101 52 121 A 1 

24 



23 

die Knotenverarbeitungsvorschrift eines Ereigniskno- 
tens und die Knotenverarbeitungsvorschrift eines Ob- 
jektklassenknotens einer negativen Identifizierung. 

40. Vorrichtung nach mindestens einem der AnsprU- . 
che 37-39, wobei das AuswShlen der Verarbeitungs- ' 5 
vorschrift beinhaltet: 

Identifizieren des Ereignisknotens, dem das Eieignis 
zugeordnet ist; 

Suchen in der Objektklassenliste des identifizierten £r- 
eignisknotens nach einer Qbjektklasse, die das Objekt 10 
umf asst; und 

wobei die Steuervorrichtung dazu ausgebildet ist, die 
' Verarbeitung Objektes gemaB der Knotenverarbei- 
tungsvorschrift zu bewirken, falls in der Objektklas- 
senliste des identifizierten Ereignisknotens eine Ob- 15 
jektklasse, die das Objekt umfasst, 'nicht enthalten ist. 

41. Vorrichtung nach mindestens einem der Ansprii- 
che 25^0, wobei .1 
die Verarbeitungs vorschrift eine positive und' eine nie- 
gative Teilverarbeitungs vorschrift umf asst; und 20 
die Steuervorrichtung dazu ausgebildet ist,'bei Hcfiil- 
lung eines Ereigniskriteriums die Verarbeitung des Ob- 
jekts gemaB d^ positiven Teilverarbeitungsvorschrift 
zu bewirken und bei NichterfuUung des Ereigniskriteri- 
ums die Verarbeitung des Objekt gemaB der negativen 25 
Teilverarbeitungsvorschrift zu bewirken. 

42. Vorrichtung nach Anspruch 41, wobei das Ereig- 
niskriterium mindestens ein Element der folgeriden Li- 
ste betreffen kann: 

- einen zulassigen und gultigen Objektnamen; 30 

- einen gultigen Hashwert; 

- Information iiber den Initiator der Objektan- 
frage; 

- eine gultige und zulassige digitale Unterschrift; 

- eine Verschliisselung; und 35 

- Referenzeh auf notwendige Informationen. 

43. Vorrichtung nach mindestens einem der AnsprU- 
che 39-42, wobei die Steuervorrichtung- dazu ausgebil- 
det ist, falls in der Objektklassenliste des identifizierten 
Ereignisknotens eine Objektklasse, die das Objekt um- 40 
fasst, enthalten ist: 

Identifizieren des zugehorigen Objektklassenknotens; 
Suchen in der Instanzenliste des identifizierten Objekt- 
klassenknotens nach einer Instanz, der die Instanz des 
Objektes entspricht; 45 
Auswahl der Objektverarbeitungsvorschrifl, welche 
diesem Instanzlisteneintrag zugeordnet ist; 
Verarbeitung des Objektes gemass dieser Objektverar- 
beitungsvorschrift, falls eine solche gefimden wurde; 
und . 50 

Verarbeitung des Objekts gemass der Knotenverarbei- 
tungsvorschrift des identifizierten Objektklassenkno- 
tens, falls das Objekt in der Instanzliste nicht gefiinden 
wurde.. 

44. Vorrichtung nach mindestens einem der Ansprii- 55 
che 39^3, wobei die Knotenverarbeitungsvorschrift 
eines Objektklassenknotens eine positive und negative 
Knotenteilverarbeitungsvorschrift umfasst und die 
Steuervorrichtung dazu ausgebildet ist, falls in der In- 
stanzliste keine dem Objekt entsprechende Instanz ge- 60 
funden wurde, bei ErfuUung eines Objektklassenkno- 
tenkriteriums die Verarbeitung des Objekts gemass der 
positiven Knotenteilverarbeitungsvorschrift zu bewir- 
ken und bei Nichterfiillung des Objektklassenknoten- 
kriteriums die Verarbeitung des Objekts gemass der ne- 65 
gativen Knotenteilverarbeitungsvorschrift zu bewir- 
ken. 

45. Vorrichtung nach mindestens einem der Ansprti- 



che 39-44, wobei die Objektverarbeitungsyorschriften 
eines Objektklassenknotens positive und negative Ob- 
jektteilverarbeitungsvorschriften umfassen, und die 
Steuervorrichtung dazu ausgebildet ist, falls in der In- 
stanzliste des identifizierten Objektklassenknotens eine. 
dem Objekt entsprechende Instanz gefiinden wurde 
und ein dieseih Listeneintrag zugeordnetes Objektkri- 
terium eritillt ist, die Verarbeitung des Objekts gemass 
der positiven Objektteilverarbeitungsvorschrift zu be- 
wirken und bei Nichterfiillung des Objektkri ten urns 
die Verarbeitung des Objekts gemaB der negativen Ob- 
jektteilverarbeitungsvorschrift zu bewirken. 

46. Vorrichtung nach mindestens einem der AnsprU- 
che 25-45, wobei im Falle einer Containerinstanz die 
Verarbeitungs vorschrift aus der Anweisung besteht, die 
ZugrifFsentscheidung auf die Inhalte des Containers zu 
beziehen. 

47. Vorrichtunjg nach mindestens einem der Anspru- 
che 25-46, wobei die VerarbeitungskontroUe verwen- 
det wird, um Aktualisierungen in der Steuervorrich- 
tung und/oder im Zugrififsinformationsspeicher vorzu- 
nehmen. 
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